Impivaaralaista lainsäädäntöä yksityisyyden suojasta

Suomalaisilla tuntuu olevan hinku jatkaa eurooppalaista lainsäädäntöä omilla kotikutoisilla pykälillään. Ministeriö on nyt rukkaamassa yksityisyyden suojasta työelämässä annettua lakia. Siinä määriteltäisiin, millä ehdoilla työnantaja saa hankkia työntekijän henkilötietoja muualta kuin häneltä itseltään.

Ehdotusta puurrettiin parisen vuotta, vaikkei kukaan kyennyt osoittamaan sille vähäisintäkään tarvetta. Lakiesitykset perustuvat aina käytännön tarpeeseen, mutta tämä ei.

Tälle tielle ei pidä lähteä. Laista on päinvastoin kumottava nykyisetkin määräykset siitä, millä vaatimuksilla työnantaja voi saada työntekijätietoja eri lähteistä. EU:n tietosuoja-asetukseen (GDPR) ei sisälly vastaavaa normeerausta, eikä yksikään muu asetusta noudattava maa ole nähnyt tällaiselle käyttöä.

Tietosuoja-asetuksella pyrittiin harmonisoimaan henkilötietojen käsittely Euroopassa. Asetuksella tavoitellaan tietojen vapaata liikkuvuutta unionin alueella. Kansalliset poikkeukset häiritsevät tiedon kulkua ja siten suomalaisten yritysten liiketoimintaa kumppaniensa kanssa.

Tämä voi vaikuttaa myös työllisyyteemme. Meidän on siksikin opittava pärjäämään yhteisillä pelisäännöillä ilman omia viritelmiä.

Työpaikan rekistereihin tallentuvien henkilötietojen on oltava aina työsuhteen kannalta tarpeellisia. Tarpeetonta ei saa kerätä, ja hyödyttömäksi käynyt on pikimmiten hävitettävä. Tärkeä periaate sisältyy sekä GDPR:ään että Suomen lakiin.

Henkilötietojen käsittelystä on lisäksi kerrottava työntekijöille oma-aloitteisesti, avoimesti ja ymmärrettävästi.

Työnantaja ei siis saa nytkään hankkia työntekijästä tietoa niin, ettei tämä tiedä, mitä tietoja työpaikalle kertyy ja mistä niitä kertyy. Ehdotettu sääntelylle ei jää yksinkertaisesti tilaa.

Lainvalmistelijan huoneentaulussa sanotaan, että lainsäätäjällä on lupa toimia vain, kun käsillä on niin iso yhteiskunnallinen ongelma, ettei se ratkea muutoin kuin lakia muuttamalla. Tämä vaatimus ei selvästikään nyt täyty.